コンテンツにスキップ

Oktaインテグレーションガイド🔗

以下の手順は、Oktaインテグレーションを設定し、Secureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。

注意

Oktaをインテグレーションすることで、XDRはOkta経由で監視データを強化できます。これはSSOとしては利用されません

Oktaの要件🔗

サービスアプリを作成するには、Super Adminロールを持つ有効なOktaアカウントが必要です。

インテグレーションから提供されるデータ🔗

正規化されたデータ 汎用的な検知 ベンダー固有の検知
Okta CloudAudit Auth

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Oktaでサービスアプリを作成する🔗

注意

XDRはOAuth 2.0 Demonstrating Proof-of-Possession (DPoP)トークンをサポートしています。

XDRでOktaインテグレーションを追加するには、以下が必要です。

  • インテグレーション名
  • Org URL — この値の確認方法はベンダーのドキュメントを参照してください
  • クライアントID
  • サービスアプリに追加した公開鍵のKey ID
  • PEM形式のRSA秘密鍵

手順🔗

  1. Okta管理コンソールでサービスアプリインテグレーションを作成します。

    サービスアプリの作成

  2. 以下の設定を使用します。

    • クライアント認証 — 公開鍵 / 秘密鍵
    • 公開鍵の設定 — Oktaに鍵を保存

  3. JWKキーペアを生成するか、既存のキーペアを使用します。

    キーペアの追加

    キーペアの作成

  4. 許可されたスコープを付与します。okta.logs.readスコープが必要です。

    Okta APIスコープ

    okta.logs.readスコープの付与

  5. 管理者ロールを割り当てます。Report Administratorロールが必要です。

    必要なロールの付与

    必要なロールの付与

XDRでインテグレーションを追加する🔗

  1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

  2. ページ上部のインテグレーションの追加を選択します。

    インテグレーションの追加

  3. 最適化タブからOktaを選択します。

    Oktaインテグレーションの作成

  4. 以下の項目を入力します。

    • インテグレーション名 — 一意の文字列
    • Org URL/Issuer URL — お客様のOktaアカウントのURLインスタンス

    注意

    Org URLは、Oktaポータルにログイン後、ブラウザのアドレスバーに表示されるもので、https://xxxxxxxx.okta.comhttps://xxxxxxxx.okta-emea.com、またはhttps://xxxxxxxx.oktapreview.comの形式です。

  5. 前のセクションで作成した秘密鍵をアップロードします。

  6. 完了を選択します。正常に追加されたOktaインテグレーションがクラウドAPIインテグレーション一覧に表示されます。

    ヒント

    上記手順3で定義したインテグレーション名を使用して、クラウドAPIインテグレーションテーブル内でインテグレーションを識別できます。

Oktaから受信するイベント🔗

Oktaインテグレーションから受信し、authスキーマに正規化される取り込みイベントは以下の通りです。

  • app.oauth2.as.authorize.code
  • app.oauth2.as.token.grant.access_token
  • app.oauth2.as.token.grant.id_token
  • app.oauth2.as.token.grant.refresh_token
  • inline_hook.response.processed
  • policy.evaluate_sign_on
  • policy.lifecycle.activate
  • policy.lifecycle.create
  • policy.lifecycle.deactivate
  • policy.lifecycle.update
  • policy.rule.add
  • policy.rule.deactivate
  • policy.rule.update
  • user.account.privilege.grant
  • user.account.reset_password
  • user.account.update_password
  • user.account.update_profile
  • user.authentication.auth_via_mfa
  • user.authentication.sso
  • user.authentication.verify
  • user.mfa.factor.activate
  • user.mfa.factor.deactivate
  • user.mfa.factor.reset_all
  • user.session.clear
  • user.session.end
  • user.session.start
  • system.sms.send_phone_verification_message
  • system.voice.send_phone_verification_call

Oktaインテグレーションから受信し、cloudauditスキーマに正規化される取り込みイベントは以下の通りです。

  • system.api_token.create
  • system.api_token.create.revoke
  • application.user_membership.add
  • application.user_membership.change_password
  • application.user_membership.remove
  • user.session.access_admin_app
  • user.lifecycle.activate
  • user.lifecycle.create
  • user.lifecycle.deactivate

Oktaインテグレーションから受信し、genericスキーマに正規化される取り込みイベントは以下の通りです。

  • application.provision.user.sync
  • group.user_membership.add
  • group.user_membership.remove
  • policy.evaluate_sign_on
  • system.import.complete
  • system.import.start
  • user.account.report_suspicious_activity_by_enduser
  • user.account.update_password
  • user.authentication.authenticate
  • user.credential.enroll
  • user.lifecycle.delete.initiated
  • user.lifecycle.reactivate
  • user.lifecycle.suspend
  • user.lifecycle.unsuspend
  • user.authentication.sso

Oktaインテグレーションの管理に関する詳細は、以下の関連トピックを参照してください。